Let’s Encrypt es un esfuerzo, impulsado por la Fundación Linux, para crear una entidad certificadora que ofrezca certificados SSL abiertos, libres, gratuitos y automáticos. Esto significa, para que nos entendamos, que ya no habrá que pasar por caja y pagar a una empresa certificadora para tener un certificado SSL seguro, sino que podemos usar esta entidad de certificación, avalada por los grandes de Internet, que no cobra.

Let’s Encrypt ha entrado en Beta pública. Ya no se requieren invitaciones para conseguir un certificado gratis de Let’s Encrypt.

La empresa de seguridad High-Tech ha estado analizando la seguridad de los principales servidores de correo electrónico gratuitos de la red con el fin de demostrar si se utilizaban conexiones realmente seguras o, de lo contrario, estas podían verse comprometidas por diferentes ataques de red. Según el estudio, además de otros muchos servidores, los tres servidores más utilizados por los internautas no protegen correctamente las conexiones.

Para proteger su página web

Según las release notes de la versión 39 de Firefox, la versión 3 de SSL queda desactivada. Una muestra mas de la inseguridad de SSLv3.

App Bugs, una firma de seguridad enfocada en el análisis de vulnerabilidades en aplicaciones móviles, ha encontrado importantes problemas en, hasta ahora, 16 populares apps para Android que podrían estar poniendo en riesgo la información de alrededor de 80 millones de usuarios de todo el mundo. Texto/vía: wwwhatsnew.com/2015/06/28/firma-de-seguridad-encuentra-vulnerabilidades-en-16-populares-apps-android/

El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.

Lo ideal en el mundo en que vivimos sería que toda la Web estuviese cifrada, pero no es tan sencillo como parece. Linux Foundation ha anunciado que acogerá otro proyecto en su seno: Let’s Encrypt. Y es genial porque si Let’s Encrypt ya era una genialidad de por sí, con la fundación como sostén tiene mayores garantías de éxito. Let’s Encrypt facilitará la implementación del cifrado al extremo -tiene potencial para convertirse en un servicio universal- sino que proveerá de una autoridad de certificación de manera automatizada, abierta y gratuita.

"Comprometida una autoridad certificadora, todos sus certificados revocados". Suena mal, ¿verdad? Es probable que hayáis leído algo parecido a esto durante los últimos días a raíz de un descubrimiento de Google, o incluso con lo del desastre de Superfish y Lenovo. La cuestión es, ¿qué significa eso? ¿Qué es un certificado? ¿Qué es una autoridad certificadora (o CA)?

Los ingenieros de seguridad de Google Chrome se están planteando marcar como inseguros todos los sitios web que no usen cifrado.

El Internet Security Research Group, ISRG, (organización formada por Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, la Universidad de Michigan y IdenTrust) ha anunciado el proyecto Let's Encrypt, que pretende extender el uso del tráfico web cifrado (HTTPS), facilitando el proceso de instalación y configuración de los certificados SSL/TLS en los servidores web.

Google recientemente liberó la herramienta Open Source Nogotofail para probar si los dispositivos o aplicaciones que utilizamos son vulnerables a los bugs de seguridad conocidos de TLS/SSL. El proyecto esta disponible para descarga desde GitHub, lo que quiere decir que cualquiera puede bajarlos e instalarlos.

El equipo de Android ha creado la herramienta Nogotofail, una herramienta que nos ofrece una manera fácil de comprobar que un dispositivo o app es realmente seguro contra las vulnerabilidades conocidas de TLS/SSL, además de evitar cualquier error de configuración.

Reciéntemente Cloudfare ha habilitado el cifrado SSL para los usuarios de su plan gratuito. Es una opción interesante si no queremos pagar un certificado ssl.

BOSTON (Reuters) - Un portavoz de Google Inc. dijo el martes que los investigadores de la compañía han descubierto una vulnerabilidad en la tecnología web ampliamente utilizada de encriptación SSL, encontrando un error en el protocolo SSL 3.0.

Un nuevo troyano bancario, al que se denominó Dyreza o Dyre, tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras.

La noticia de la Vulnerabilidad en Open SSl conocida mas bien por HeartBleed ha sido noticia en esta ultimas semanas y donde hemos visto como las grandes empresas han comenzado a parchear sus servidores para evitar esta vulnerabilidad ahora bien en este articulo te mostraremos como actualizar tu server y que no sea vulnerable algo que es bastante fácil.

Asisto perplejo a las recientes noticias sobre vulnerabilidades encontradas en las implementaciones SSL/TLS tanto de Linux como de iOS. Por si no estáis enterados, os pongo en antecedentes.

Una corte federal de apelaciones aceptó una acusación de desacato a la autoridad contra Levison y Lavabit por entregar en ese formato la clave SSL. Según el fiscal Andrew Peterson, "la empresa trató la orden judicial como si estuviera negociando un contrato en vez de ser un requerimiento legal". Rel: www.meneame.net/story/lavabit-apela-contra-gobierno-ee-uu-exigirle-ent

Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido. El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL.

Ayer Apple informó de una 'update security' para iOS que sugeria un bug bastante importante relativo a la encriptación SSL. Gracias a que el código es open source en las redes pronto descubrieron el fallo. Observa el código, no es necesario saber de criptografia, ni de SSL .... una pista, está relacionado con la sentencia goto.

El fallo, facilmente explotable, permite a un atacante acceder al contenido de las conexiones ssl/https

El proyecto Certificate Transparency de Google soluciona distintos problemas de diseño en la estructura de certificados de seguridad SSL. Estas vulnerabilidades pueden permitir ataques como suplantación de webs o servidores y ataques MITM (hombre en el medio). El proyecto hace posible la detección de certificados SSL que han sido emitidos erróneamente por entidades certificadoras o que han sido adquiridos de forma maliciosa. Al ser una plataforma abierta y pública cualquiera puede construir o acceder a los componentes básicos del proyecto.